Buch, Deutsch, 496 Seiten, Format (B × H): 174 mm x 243 mm, Gewicht: 1050 g
Norm, Umsetzung, Best Practices
Buch, Deutsch, 496 Seiten, Format (B × H): 174 mm x 243 mm, Gewicht: 1050 g
ISBN: 978-3-367-10978-4
Verlag: Rheinwerk Verlag GmbH
Wer Sicherheit wie Flickenschusterei betreibt, handelt fahrlässig! Nachhaltige IT-Sicherheit im Unternehmen benötigt einen systematischen und strukturierten Ansatz, an dem Sie sich orientieren können. Der Rahmen der ISO 27001 hilft Ihnen, relevante Risiken zu identifizieren, geeignete Schutzmaßnahmen einzuführen und die Sicherheit kontinuierlich zu verbessern . In diesem praxisorientierten Leitfaden zeigt Ihnen Andreas Wisler Schritt für Schritt, wie ein Information Security Management System (ISMS) aufgebaut, gelebt und erfolgreich zertifiziert wird. Konkrete Beispiele zeigen Ihnen, wie Unternehmen unterschiedlicher Größe ein ISMS eingeführt haben, praktische Tipps von der Risikoanalyse bis zum Audit helfen Ihnen bei der Umsetzung.
- ISMS aufbauen und praktisch umsetzen
- Vorbereitung auf Audits und Zertifizierung
- Schnittstellen zu anderen Normen und Standards
Aus dem Inhalt:
- Was ist ein ISMS: Definition und Ziele
- Abgrenzungen und Schnittstellen
- Begriffe der Informationssicherheit
- Die Normreihe 27000: Geschichte, Aufbau und Inhalt
- Die Anhänge der Norm: organisatorische, personenbezogene, physische und technologische Maßnahmen
- ISMS umsetzen: Vorgehen, Beispieldokumente und Ressourcen
- Informationssicherheit messen: Kennzahlen, Metriken und Reifemodelle
Autoren/Hrsg.
Fachgebiete
Weitere Infos & Material
Geleitwort des Fachgutachters ... 13
1. Einleitung ... 15
1.1 ... Für wen ist dieses Buch? ... 15
1.2 ... Was erwartet Sie? ... 16
2. Was ist ein ISMS? ... 21
2.1 ... Ziele und Vorteile eines ISMS ... 22
2.2 ... Abgrenzung zu anderen Managementsystemen ... 26
3. Warum auch Sie ein ISMS verwenden sollten? ... 29
3.1 ... Bedeutung der Informationssicherheit ... 30
3.2 ... Risiken und Bedrohungen für Unternehmen ... 33
3.3 ... Wirtschaftliche und rechtliche Notwendigkeit ... 35
4. Begriffe zur Informationssicherheit ... 37
4.1 ... Was sind Informationen? ... 37
4.2 ... Die CIA-Triade ... 40
4.3 ... Authentizität und Verbindlichkeit ... 41
4.4 ... Grundbegriffe ... 43
5. Einführung in die Normenreihe ISO 27000 ... 47
5.1 ... Inhalt und Aufbau ... 48
6. Die ISO 27001 verstehen ... 55
6.1 ... NK 4 -- Kontext der Organisation ... 55
6.2 ... NK 5 -- Führung ... 63
6.3 ... NK 6 -- Planung ... 70
6.4 ... Einschub: Praxisbeispiel Risikomanagement ... 77
6.5 ... NK 7 -- Unterstützung ... 84
6.6 ... NK 8 -- Betrieb ... 93
6.7 ... NK 9 -- Bewertung der Leistung ... 96
6.8 ... NK 10 -- Verbesserung ... 102
7. Die Anhänge der ISO 27001: die Controls A.5 bis A.8 ... 107
7.1 ... Die Attribut-Tabelle ... 108
7.2 ... NK A.5 -- Organisatorische Maßnahmen ... 112
7.3 ... NK A.6 -- Personenbezogene Maßnahmen ... 158
7.4 ... NK A.7 -- Physische Maßnahmen ... 165
7.5 ... NK A.8 -- Technologische Maßnahmen ... 180
8. Wie wird ein ISMS umgesetzt? ... 215
8.1 ... Leitfaden für KMUs: Best Practices für die Umsetzung ... 215
8.2 ... Stolpersteine ... 218
8.3 ... Mindestens notwendige Dokumente ... 219
8.4 ... Tools und Ressourcen ... 221
9. Informationssicherheit messen ... 225
9.1 ... ISO 27004 -- Überwachung, Messung, Analyse und Bewertung ... 225
9.2 ... Kennzahlen und Metriken für ein ISMS ... 228
9.3 ... Das Reifegrad-Modell ... 231
10. Audits ... 235
10.1 ... Interne vs. externe Audits ... 238
10.2 ... ISO 19011 -- Auditierung von Managementsystemen ... 238
10.3 ... Das Audit-Programm ... 244
10.4 ... Audit-Plan ... 246
10.5 ... Audit-Bericht ... 248
10.6 ... Audit-Fragen ... 250
10.7 ... Typische Audit-Feststellungen ... 282
11. Zertifizierung ... 285
11.1 ... Ablauf ... 285
11.2 ... Akkreditierung ... 287
12. Weitere Normen bzw. Standards ... 291
12.1 ... ISO 27003 -- Umsetzung eines ISMS ... 291
12.2 ... ISO 27799 -- Informationssicherheit im Gesundheitswesen ... 293
12.3 ... ISO 27006 -- Anforderungen an die Zertifizierer ... 296
12.4 ... ISO 27007 -- Leitfaden für das Auditieren eines ISMS ... 299
12.5 ... ISO 27008 -- Leitlinien für die Bewertung von Informationssicherheitskontrollen ... 302
12.6 ... ISO 27018 -- Sicherheit in Cloud-Diensten ... 305
12.7 ... ISO 27701 -- Datenschutz-Managementsystem ... 307
12.8 ... CISIS12 ... 311
12.9 ... VdS 10000 ... 317
12.10 ... Vergleich von ISO 27001, VdS 10000 und CISIS12 ... 319
12.11 ... DIN SPEC 27076 -- IT-Sicherheitsberatung für Klein- und Kleinstunternehmen ... 320
12.12 ... Umsetzung eines ISMS mit BSI-Standards ... 325
12.13 ... NIST Cybersecurity Framework ... 331
12.14 ... COBIT ... 334
13. Gesetzliche Anforderungen ... 337
13.1 ... Datenschutz ... 337
13.2 ... Cyber Resilience Act (CRA) ... 342
13.3 ... NIS-2 ... 344
13.4 ... TISAX 6 ... 353
Anhang ... 357
A ... Beispieldokumente ... 357
B ... Die DIN EN ISO/IEC 27001:2024-01 mit Anhang und Änderung im Wortlaut ... 455
Index ... 493
